Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukar menjadi ETH melalui jembatan lintas rantai dan masuk ke kantong peretas, sedangkan sisa 162 juta USD dibekukan oleh Sui Foundation yang mengoordinasikan node.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Respon cepat dari Yayasan Sui terhadap insiden pencurian ini dan solusi yang segera diluncurkan telah menimbulkan kontroversi besar di dalam komunitas. Di satu sisi, mereka berhasil memulihkan sebagian besar dana dan melindungi kepentingan pengguna yang terkena pencurian, tetapi di sisi lain, cara pemulihan dilakukan dengan memaksa modifikasi kepemilikan aset melalui konsensus node, yang merupakan pertama kalinya di tingkat blockchain publik merealisasikan "transfer aset tanpa kunci pribadi".
Di hadapan kepentingan pengguna, tindakan yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan begitu saja.
Bagaimana cara melakukan transfer aset tanpa kunci?
Pada 22 Mei, DEX Cetus dari ekosistem Sui mengalami serangan hacker akibat kesalahan kode yang rendah, dengan kerugian sebesar 2,23 juta dolar. Setelah kejadian tersebut, 162 juta dolar dari dana yang dicuri telah dibekukan oleh dewan verifikasi yang dikoordinasikan oleh yayasan Sui.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya dalam 48 jam, 114 node dengan 103 yang berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara tinggi melewati proposal.
Melalui proposal ini menunjukkan bahwa, protokol Sui akan ditingkatkan, yang akan memungkinkan satu alamat tertentu untuk mewakili alamat peretas dalam dua transaksi untuk memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan dipublikasikan setelah alamat pemulihan akhirnya ditentukan. Aset yang dipulihkan akan disimpan dalam dompet multisig yang dikelola oleh auditor terpercaya dari Cetus, Yayasan Sui, dan komunitas Sui, OtterSec.
Dalam tingkat peningkatan protokol, diperkenalkan fitur aliasing alamat, yang secara spesifik mendefinisikan aturan di tingkat protokol: menyamarkan operasi pemerintahan tertentu sebagai "tanda tangan sah dari akun peretas", lalu node verifikasi setelah peningkatan mengakui tanda tangan palsu tersebut, sehingga memlegalkan pemindahan dana yang dibekukan. Ini membuat perubahan kepemilikan aset secara paksa melalui konsensus node tanpa menyentuh kunci pribadi (ini mirip dengan bank sentral yang membekukan rekening bank kemudian memindahkan dana).
Lalu, bagaimana aset beku yang paling awal dapat direalisasikan? Sui sendiri mendukung fungsi Daftar Penolakan (Deny list) dan Token yang Diatur (Regulated tokens), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat hacker.
Risiko teknis dari intervensi kekuasaan yang tersisa
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, tetap saja menimbulkan kekhawatiran, karena peningkatan protokol yang memaksa perubahan kepemilikan aset melalui konsensus node juga menunjukkan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk menandatangani, sehingga dapat menarik aset di dalamnya.
Apakah Sui resmi dapat melakukan hal ini tidak tergantung pada kode kontrak pintar, tetapi pada hak suara node, dan siapa yang menguasai hasil suara node tersebut? Itu tidak lain adalah node besar yang dikendalikan oleh modal yayasan! Dengan kata lain, pihak berkepentingan resmi Sui memegang kendali terbesar, meskipun itu adalah pemungutan suara, itu hanyalah sebuah formalitas.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol mutlak atas aset; selama konsensus node setuju, lapisan protokol dapat langsung menimpa hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset yang cepat, berkat fitur regulasi bawaan Sui yang juga dapat dengan cepat menghentikan kerugian, pemungutan suara diselesaikan dalam 48 jam, dan peningkatan protokol telah diimplementasikan.
Namun menurut penulis, fungsi alias alamat membuka preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat mana pun, yang menanamkan benih teknologi untuk intervensi kekuasaan.
Dan serangkaian tindakan untuk memulihkan dana Sui kali ini hanyalah keputusan pihak blockchain publik yang memilih untuk berdiri di sisi kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu bertentangan dengan prinsip desentralisasi, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya mereka dapat merespons dengan mengatakan bahwa itu adalah keputusan "voting".
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Cetus berhasil memulihkan dana yang dicuri "Desentralisasi" mengorbankan kepentingan pengguna
Jessy, Jincai Caijing
Pada 22 Mei, DEX Cetus dari ekosistem Sui dicuri dana sebesar 223 juta USD. Dari jumlah tersebut, hanya 60 juta USD yang ditukar menjadi ETH melalui jembatan lintas rantai dan masuk ke kantong peretas, sedangkan sisa 162 juta USD dibekukan oleh Sui Foundation yang mengoordinasikan node.
Pada 27 Mei, pemungutan suara komunitas dimulai, "untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas." Akhirnya, peningkatan protokol berhasil dilaksanakan, dan 162 juta dana berhasil dipulihkan.
Respon cepat dari Yayasan Sui terhadap insiden pencurian ini dan solusi yang segera diluncurkan telah menimbulkan kontroversi besar di dalam komunitas. Di satu sisi, mereka berhasil memulihkan sebagian besar dana dan melindungi kepentingan pengguna yang terkena pencurian, tetapi di sisi lain, cara pemulihan dilakukan dengan memaksa modifikasi kepemilikan aset melalui konsensus node, yang merupakan pertama kalinya di tingkat blockchain publik merealisasikan "transfer aset tanpa kunci pribadi".
Di hadapan kepentingan pengguna, tindakan yang begitu "berani" yang melanggar "semangat desentralisasi" ini diabaikan begitu saja.
Bagaimana cara melakukan transfer aset tanpa kunci?
Pada 22 Mei, DEX Cetus dari ekosistem Sui mengalami serangan hacker akibat kesalahan kode yang rendah, dengan kerugian sebesar 2,23 juta dolar. Setelah kejadian tersebut, 162 juta dolar dari dana yang dicuri telah dibekukan oleh dewan verifikasi yang dikoordinasikan oleh yayasan Sui.
Pada 27 Mei, Yayasan Sui mendorong pemungutan suara komunitas, yang bertujuan untuk memutuskan apakah akan melaksanakan peningkatan protokol untuk memulihkan dana yang dibekukan di akun yang dikendalikan oleh peretas. Akhirnya dalam 48 jam, 114 node dengan 103 yang berpartisipasi dalam pemungutan suara, 99 suara mendukung, 2 suara menolak, 2 suara abstain, dengan 90,9% suara tinggi melewati proposal.
Melalui proposal ini menunjukkan bahwa, protokol Sui akan ditingkatkan, yang akan memungkinkan satu alamat tertentu untuk mewakili alamat peretas dalam dua transaksi untuk memfasilitasi pemulihan dana. Transaksi ini akan dirancang dan dipublikasikan setelah alamat pemulihan akhirnya ditentukan. Aset yang dipulihkan akan disimpan dalam dompet multisig yang dikelola oleh auditor terpercaya dari Cetus, Yayasan Sui, dan komunitas Sui, OtterSec.
Dalam tingkat peningkatan protokol, diperkenalkan fitur aliasing alamat, yang secara spesifik mendefinisikan aturan di tingkat protokol: menyamarkan operasi pemerintahan tertentu sebagai "tanda tangan sah dari akun peretas", lalu node verifikasi setelah peningkatan mengakui tanda tangan palsu tersebut, sehingga memlegalkan pemindahan dana yang dibekukan. Ini membuat perubahan kepemilikan aset secara paksa melalui konsensus node tanpa menyentuh kunci pribadi (ini mirip dengan bank sentral yang membekukan rekening bank kemudian memindahkan dana).
Lalu, bagaimana aset beku yang paling awal dapat direalisasikan? Sui sendiri mendukung fungsi Daftar Penolakan (Deny list) dan Token yang Diatur (Regulated tokens), kali ini langsung memanggil antarmuka pembekuan untuk mengunci alamat hacker.
Risiko teknis dari intervensi kekuasaan yang tersisa
Meskipun langkah ini berhasil memulihkan sebagian besar aset yang dibekukan, tetap saja menimbulkan kekhawatiran, karena peningkatan protokol yang memaksa perubahan kepemilikan aset melalui konsensus node juga menunjukkan bahwa pihak resmi Sui dapat menggantikan alamat mana pun untuk menandatangani, sehingga dapat menarik aset di dalamnya.
Apakah Sui resmi dapat melakukan hal ini tidak tergantung pada kode kontrak pintar, tetapi pada hak suara node, dan siapa yang menguasai hasil suara node tersebut? Itu tidak lain adalah node besar yang dikendalikan oleh modal yayasan! Dengan kata lain, pihak berkepentingan resmi Sui memegang kendali terbesar, meskipun itu adalah pemungutan suara, itu hanyalah sebuah formalitas.
Kunci pribadi pengguna tidak lagi menjadi bukti kontrol mutlak atas aset; selama konsensus node setuju, lapisan protokol dapat langsung menimpa hak akses kunci pribadi.
Namun di sisi lain, ini mewujudkan efisiensi dalam pemulihan aset, pembekuan aset yang cepat, berkat fitur regulasi bawaan Sui yang juga dapat dengan cepat menghentikan kerugian, pemungutan suara diselesaikan dalam 48 jam, dan peningkatan protokol telah diimplementasikan.
Namun menurut penulis, fungsi alias alamat membuka preseden berbahaya - lapisan protokol dapat memalsukan "operasi sah" dari alamat mana pun, yang menanamkan benih teknologi untuk intervensi kekuasaan.
Dan serangkaian tindakan untuk memulihkan dana Sui kali ini hanyalah keputusan pihak blockchain publik yang memilih untuk berdiri di sisi kepentingan pengguna ketika kepentingan pengguna bertentangan dengan prinsip desentralisasi. Dan apakah itu bertentangan dengan prinsip desentralisasi, tampaknya tidak penting bagi pengguna dan Sui, karena pada akhirnya mereka dapat merespons dengan mengatakan bahwa itu adalah keputusan "voting".